中国省域政务数据安全政策文本量化研究*

2022-01-20毛子骏朱钰谦徐晓林

情报杂志 2021年12期

毛子骏朱钰谦徐晓林

(1.华中科技大学公共管理学院武汉 430074；2.华中科技大学非传统安全研究中心武汉 430074；3.湖南农业大学公共管理与法学学院长沙 410128)

2021年6月10日《数据安全法》正式发布，开辟专章对“政务数据安全与开放”进行规定。随着“一网通办”“跨省通办”“全国一体化在线政务服务平台”“一码通行”等项目的推进，政务数据在流动融合过程中减少信息不对称、降低空间交互成本，并通过增进数据特征多样性与数据规模实现大数据价值。这也意味着，政务数据从有限且可控的安全域向不确定、不可控的风险空间蔓延，加剧全国性政务数据安全的“木桶效应”。无短板、无缝隙的政务数据安全大坝需要吸纳、动员和整合巨大的政策资源，千里之堤毁于蚁穴，任一政策纰漏都可能引起大坝发生管涌溃决，降低全国一体化政务大数据体系安全的下限。

中央-省-市县乡是从面到块再到线、点的关系，同一政策目标下各行政层级考虑的问题和政策重心不一。囿于我国区域发展不平衡、不充分等复杂情况，国家层面政策施力点在于宏观的方向指引，如中央深改委第十七次会议强调“全面构建政务数据共享安全制度体系、管理体系、技术防护体系”。市县乡层面治理元素较单一，更多地是抄送转发和执行落实政策。如此省域政策就显得尤为重要，应承载更多包容性、协调性功能，在由点及面搭建全国政务数据安全政策体系的过程中起到更为关键的枢纽作用。

其一，省域政策需要关照到更大尺度、更差异化的治理空间，对四级行政架构、城乡交互、跨省跨境的数据风险作出响应；其二，数字政府集约化建设模式下，省级统建统维县乡及部分市的数据中心、政务网、政务云、数据共享交换平台、应用支撑平台等设施，并为全省各地各部门各单位提供基础性数据安全服务，省域政策将尽可能地考量市县乡所面临的数据风险乃至更复杂的情况；其三，省级政府作为地方最高层级政府，能在全局的高度统筹政务数据发展和安全，对诸如政企合作、数据开放等重大问题作出风险收益权衡。

国内外学界对政务数据安全治理的研究价值有着高度共识，都认为数据正日益成为国家基础性的战略资源[1]，政务数据安全治理已成为各国数字政府建设中的核心要务[2]。源于各国政务数据开发、利用、保护的认识、能力与阶段的差异，各国学者研究的重点又有所不同。大多数国家尚处于保守利用政务数据阶段，研究大多在探索政务数据可能的开发利用路径。仅在美国、英国等少数旨在以数据充分流动推动数字政府、数字经济等发展的国家中，研究偶有关注到政务数据安全政策等问题。具体研究包括Ron Ross等从技术发展角度，分析美国《电子政务法案》第三章《联邦信息安全管理法案》(FISMA)，以及美国国家标准研究院(NIST)为落实FISMA所开发的风险管理框架(RMF)[3]。Timothy J. Perez以FISMA和RMF为基准，通过问卷调查法评估加州橙县34个城市政府的合规程度[4]。Sungmi Park等依托政策文本整理英国HMG安全政策框架(SPF)对政府部门维护数据安全规定的最低安全措施[5]等。

总体而言，国外相关研究整体还非常少。研究对象上学者研究了美国国家与县市的政策，但联邦制下FISMA无法约束州和地方政府[6]，州际、州内因地方相对自治也很难形成政策整体效应，这与我国中央-省-市县的治理体制有着显著差别，尤其是可供我国省域治理政策借鉴的同类型研究文献尚未发现。英国等其他发达国家国土面积与人口仅相当于我国一个省，政务数据国内流动空间与复杂度远小于我国，且国家政务数据安全政策可直接指导地方，故其政务数据安全政策的研究非常少，针对一级行政区的研究则更为鲜见，研究方法与特色也不突出。

同期我国从中央政策要求与工作实践方面都大力推进政务数据的安全使用与利用，国内学者开始关注到我国政务数据安全政策。周君等以归纳法对海南、武汉、连云港三地的政务数据安全相关办法、细则文件进行要点提炼[7]。冉连以演绎法梳理中国33个地级市政府数据开放安全政策中，战略层、战术层、操作层政策工具的主要标志词句[8]等。已有研究中研究对象主要集中在大城市的市级政策文本，缺乏对省域政策文本的系统研究，从安全防护的整体性需求角度看仅将安全政策重点置于大城市市域既是对政务数据流动空间域的有限认知，也会因忽视省-市-县-乡的安全协同防护而陷入高投入且无效的市域单点防护局面。在研究方法的选取上，已有研究大多选择归纳或演绎的内容分析法对政策文本进行编码，其中归纳式编码能较完整地覆盖政务数据安全政策靶点，但编码分析局限于文本而体系建构有限；演绎式编码能在政策工具框架下搭建与安全目标相适配的工具体系，但由于当前政务数据安全政策尚处探索阶段、内容琐碎，战略层、战术层、操作层的粗粒度划分会模糊掉诸多关键细节及其间关联。只有将归纳与演绎式编码相结合，细化政策工具粒度，才能最大限度地对政务数据安全政策进行解构与建构，以达到政务数据安全所要求的无纰漏、体系化治理。

本文针对以上详述的省域政务数据安全政策的独特性、研究价值与国内外研究现状，设计采用文献计量法以及归纳与演绎相结合的内容分析法，对我国大陆31个省域与政务数据安全直接相关的政策文本进行挖掘，试图解答以下问题：省域政务数据安全政策的主题、发布时间、发布主体情况如何？政策工具选择倾向、结构特征、潜在漏洞？与上下行政层级、同级政策的关系？有效探讨和解答上述问题可以为及时补齐政务数据安全政策短板提供一定的理论和决策支撑，以底线思维拉起全国政务数据安全工作的警戒线。

1 研究设计

1.1研究方法为从整体把握省域对政务数据风险的嗅探速度、关注程度的演变趋势，省域政务数据安全治理的政策性靶点与体系化设计，以及省际政策协同情况，本文采用基于文献计量与内容分析的政策文本综合量化研究方法(见图1)，将政务数据安全政策外部属性分析与内部语义挖掘结合起来[9]。一方面运用文献计量对外部结构中的主题、发布时间、发布主体，分别进行频次分析与时间序列分析，从宏观维度明晰政策所处阶段与演进规律、预判政策发展趋势；另一方面对政策工具进行归纳与演绎相结合的实验式内容分析，从微观维度明晰政策意图、观测政策工具内容与组合结构[10]。

1.2数据来源在我国大陆31个省域政府门户网站以及北大法宝、威科先行等法律法规信息库，以“政务数据安全”“公共数据安全”“政府数据安全”为关键词进行检索，并对政策文件的有效期限、相关度进行人工筛选。由于央地政府对“政务信息”“政务数据”概念的混用，检索范围扩大至标题含“政务信息资源”的政策。截至2021年6月10日，最终选取31个省域正式发布的71份政策文件。为进一步提升研究的针对性，将从这些样本中提取与政务数据安全直接相关的文本内容进行分析。

2 中国省域政务数据安全政策外部属性特征分析

2.1政策主题从71份政策样本的主题来看，政务数据安全相关规定散见于三大类规范性文件(见图2)。第一类是政务数据/信息类专项型政策(55%)，包括“政务数据(资源)”“公共数据(资源)”“政府数据”“政务信息资源”“公共信息资源”等主题。由于中央文件的多样化提法等因素，各省份尚未统一相近术语的使用，上述概念所指对象基本一致。第二类是综合型政策(38%)，包括“数字政府”“一体化在线政务服务平台”“一网、一门、一次”等主题，这些正是中央近几年为深化“放管服”改革所打造的全国性电子政务建设项目。第三类是混合型政策(7%)，如《上海市公共数据和一网通办管理办法》将前两类主题并列，说明已然关注到数据管理与政务信息化同步推进的协同效应。

图2 政策主题分布

2.2政策发布时间通过对政策发布时间(见图3)的梳理发现：2010年，《福建省政务信息共享管理办法》最早指出政务数据安全的必要性，福建省先进的政务数据安全理念离不开其世纪之初在全国率先建设“数字福建”的实践经验。2017年，政务信息类政策发文数量出现显著峰值，主要原因可能在于《政务信息资源共享管理暂行办法》(国发〔2016〕51号)明确“加强政务信息资源采集、共享、使用时的安全保障工作”。2018年至2021年，伴随十九届四中全会首次提出“数据可作为生产要素按贡献参与分配”、《数据安全法》的三次审议，政务数据型、混合型政策发文逐渐增多，以“政务数据”替代“政务信息”的趋势十分明显。尤其《海南省公共信息资源安全使用管理办法》《浙江省公共数据开放与安全管理暂行办法》《广西政务数据安全管理办法》直接点明“安全”二字，说明政务数据安全作为独立议题进入政策议程。但是仅此三省探索出台专项政务数据安全政策，其余省在“数字政府建设”等综合型政策中作为附属性议题部署政务数据安全工作。当前中央治理路径不明朗，政务数据安全治理处于国办、发改委、国安、公安、网信、工信等国家部委的政策辐射交叉地带，相较于政府数字化转型发展议题所能竞争和吸纳的国家、地方政策资源有限。

图3 政策发布年份

2.3政策发布主体就政策样本发布主体而言(见图4)，省委省政府联合发文1份，北京市经济和信息化局等省政府组成部门发文1份，广西壮族自治区大数据发展局等省政府直属机构发文3份，天津市互联网信息办公室等省政府办事机构发文1份，山西省、贵州省人民代表大会常务委员会发文2份，其余均由省政府(办公厅)发布。根据《立法法》“地方性法规的效力高于本级和下级地方政府规章”，《山西省政务数据管理与应用办法》、《贵州省政府数据共享开放条例》作为地方性法规，将是地方层面对政务数据安全规制效力最高的规范性文件。

图4 政策发布主体

3 中国省域政务数据安全政策工具分析

政策工具作为政府达成政策目标的重要途径和手段，是公共政策科学研究的重要指标。政策工具的选择与相应领域的治理目标、条件等密切相关，面对政务数据流动风险的“木桶效应”这一政策情景，政务数据安全目标要求政策工具间相互支持强化达成整体效用，需要寻找一个包容实质性与程序性工具的统合途径[11]来考量政策工具包的完备性、协调性、系统性。这与H·A·德·布鲁金与E.F.坦霍伊维尔霍夫依据治理层次分类的理念相契合[12]，操作层工具意为直接影响公共治理效果的作用媒介，属于实质性工具范畴；战术层工具较之更为抽象化，意为操作层工具的组合应用方式，同时是对战略层工具的分解；而战略层则是制约操作层与战术层工具选择的网络，通过控制制度或过程间接影响结果。

本研究采用归纳与演绎相结合的内容分析，首先对政务数据安全政策逐条款进行开放式编码，而后通过主轴编码得到相对范畴化的10个政策工具类目，在选择性编码阶段将政策工具类目归到战略层、战术层、操作层中，并做有效性和理论饱和度检验从而确保未再有新的工具类型。具体而言，战略层政策工具，对政务数据安全提出全局性、方向性的规划要求，明确政务数据安全保护的目标和重点关注领域，包括“原则理念”“总体规划”；战术层政策工具，从某一维度建立成套性的、整体性的政务数据安全解决方案，包括“角色定位”“防护机制”“基础设施”“社会参与”；操作层政策工具，具体落实政务数据安全的行动和资源，包括“技术手段”“行为规范”“监督惩处”“人员岗位”。最后通过频数统计对各省政策工具情况进行全景和横向比较(见表1)。

表1 省域政务数据安全政策工具频数表

续表1 省域政务数据安全政策工具频数表

3.1政策工具数量分析从各省政策工具的总量来看(见图5)，关注度最高的依次是浙江(84)、广西(81)、上海(75)、海南(62)、广东(53)；从各省政策工具的覆盖率来看，上海、浙江、重庆实现10类政策工具全覆盖。内陆省份限于经济发展水平、财政预算、IT产业实力、信息化基础等因素，其政务数据安全政策工具数量、覆盖范围、涵盖内容普遍弱于东南沿海省份。伴随全国政务服务“一张网”“互联网+政务服务”，全国“一盘棋”“东数西算”等工程推进，只有全国统筹协调的政务数据安全政策体系才能实现，政务数据在跨层级、跨地域、跨系统、跨部门、跨业务互联互通中的安全保护。否则政务数据流经的政策滞后省份可能成为风险爆发点或攻击突破点，甚至对其他地区和国家安全造成威胁。

图5 各省政策工具总量与覆盖率

从各类政策工具的省域覆盖情况来看(见图6)，31省均已形成政务数据安全的“原则理念”，但“社会参与”“人员岗位”等工具仍有不同程度的缺失。政策工具的覆盖率制约政务数据安全部署的体系性，任一层次任一工具都可能影响政务数据安全大坝的蓄水量，例如政务数据安全保障的技术性需要吸收“社会参与”的专业优势，培育信创产业生态；流动性安全需要“人员岗位”作为数据的频繁、密切接触者来贯彻执行政策。省域政务数据安全政策工具缺位、内容空泛，使得市县乡更容易对上级政策进行所谓的灵活把握，选择政策中相对较为容易执行的或执行后政绩较为明显的部分。市县乡作为政务数据流动系统最为底层和庞杂的毛细血管，人力、物力、财力、技术等资源十分有限，对政务数据保护工作采取最低标准、交差式的选择性执行，将造成曝露面极广的、巨大的政务数据风险隐患。

图6 各类政策工具省域覆盖情况

3.2战略层政策工具主要内容分析“原则理念”工具为全省政务数据安全治理定调，而“总体规划”工具进一步明晰政府数字化转型过程中政务数据安全的实现方向。

各省政务数据安全政策的“原则理念”涵盖四大方面：一是权衡安全与发展的关系，要求政务数据采集汇聚、共享开放、应用等诸多业务活动遵循安全可控、安全有序的原则，数据安全保障与数据支撑服务同步规划、同步建设、同步运行。二是从数据价值定义政务数据安全，要求保护涉及国家安全、公共安全、经济安全、社会稳定以及国家秘密、商业秘密、公民隐私等重要信息。三是从风险源界定政务数据安全，要求预防攻击、侵入、干扰政务数据库，破坏、窃取、篡改、泄露、删除、非法使用政务数据等情形的发生。四是明确政务数据全生命周期安全的理念，要求保障数据采集、清洗、存储、归集、传输、处理、共享、开放、使用、披露、销毁等各阶段安全。其中，广西创新性地以“一体安全”的理念提出政务数据的“总体和动态安全”。

各省政务数据安全政策的“总体规划”围绕编制政务数据安全规划、建立完善政务数据安全保障体系开展，包括制度、技术与经费支撑。制度支撑涉及法律法规、政策办法、管理规则、保障措施、工作规范，如“将公共数据安全管理纳入国民经济和社会发展规划体系”“建立并实施公共数据管控体系”“完善政务数据安全管理制度”“建立健全政务数据资源共享安全管理制度”“研究制定数据安全管理办法”“制定政务数据资源安全工作规范”“建立健全政务数据安全保障的规则体系”“制定公共数据开放安全规则”等。技术支撑指向技术防护体系，以及基础性、通用性地方标准，如“形成完善基于物理、网络、平台、数据、应用、管理的六层立体安全防护体系”“健全防篡改、防泄漏、防攻击、防病毒、防越权存取等安全防护体系”“完善政务信息资源安全标准规范”“优先制定数据安全关键领域标准”“制定公共数据脱敏技术规范”等。仅浙江、广西、新疆、湖北确切地提到落实政务数据安全经费保障，列入财政预算。

3.3战术层政策工具主要内容分析战术层工具是对战略层工具的支撑，共同搭建起政务数据安全保障框架。“角色定位”“社会参与”工具回答“谁来做”，定义管理方、监管方、运营方等主体责任；“防护机制”工具回答“怎么做”，确定政务数据安全所涉要素的联动关系与运行方式；“基础设施”工具回答“朝哪做”，指明政务数据安全保护的对象范围与载体。

各省政务数据安全政策关于“角色定位”的规定大致可归为两类。第一类，明确政务数据安全工作所涉工信、大数据发展、网信、公安、通信管理、保密、市场监督管理、发展和改革等职能部门的相关职责与权限。各省统筹指导政务数据安全保障和监管工作的部门不一，如北京由市经济和信息化部门主管、内蒙古由自治区法制政府建设领导小组政务信息资源整合共享专项工作协调办公室下设网络安全组主管、吉林由省政务服务和数字化局主管、上海由市政府办公厅主管等；网信办、公安厅、通信管理局主要负责政务数据采集、共享、使用过程的网络安全；省国家保密局、省密码管理局负责保密检查、密码应用等专项监管；市场监督管理部门制定政务数据安全方面的地方标准；较为特殊的，贵州、重庆提到国家安全机关对政务数据进行国家安全检查。第二类，尝试厘定政务数据活动中多主体的安全责任。山西、安徽等强调谁管理、谁提供、谁经手、谁使用、谁负责的原则；海南提出相关责任主体全覆盖原则；广西、江苏等划定政务数据生产单位、共享开放平台管理单位、提供单位、使用单位、云网基础平台管理单位、政务部门、公共服务企业事业单位、技术服务单位等角色，并就其业务活动提出相应安全要求。

各省对政务数据安全“防护机制”的政策设计主要落脚于政务数据识别与分类、风险预警与应急处理，但完备度差异大。天津仅提及“政务数据分类分级规则”；江苏、湖南、江西仅提及“政务信息资源共享风险评估和安全审查”；新疆、辽宁仅提及“政务数据资源共享安全应急处置预案”；云南仅提及“向同级相关主管部门报告安全问题并配合处置”。相对多维地，宁夏要求政务数据分类分级安全管理以及共享风险评估；陕西要求信息资源定级以及安全监测；福建、青海、四川、河南要求政务数据分类分级、安全评估、安全报告与应急处置；山东、山西要求政务数据安全预警、溯源与应急处置。北京、海南、浙江、广西、广东、湖北、安徽、贵州、重庆、上海、吉林、内蒙古的规定更加周详，要求建立并实施政务数据分类分级保护制度，在此基础上形成政务数据风险防范、威胁预测、风险识别、通报预警、应急管理等防护机制组合，通过定期开展安全测试、风险评估、巡检巡查以发现、排除风险隐患，针对性做好应急预案、演练、处置、支援、灾难恢复、事件报告等工作。其中广西、广东、湖北强调各行政机关间的日常联调及非常态化下的联动性；贵州、海南分别已出台政务数据分类定级的地方标准，以及具体分级方法与防护策略。

各省对不同范围的电子政务“基础设施”作出落实政务数据安全的指示。少数省份聚焦于某一项设施，诸如北京、辽宁、福建、天津分别要求保障大数据平台、汇聚共享平台、开放平台、交换平台的稳定运行；新疆将政务信息资源共享平台列入关键信息基础设施；山西要求落实电子政务外网安全。较为广泛地，宁夏、湖南、陕西、重庆、四川、江西、河南、江苏关注共享平台和对接系统的防护以及政务数据采集、共享、使用过程的网络安全；西藏、内蒙古关注筑牢政务服务平台建设和网络安全防线；吉林、浙江、安徽、河北强调电子政务外网、电子政务云、大数据平台、数据共享交换平台、政务服务平台、电子政务灾难备份中心的安全管理。青海、上海、山东、湖北、广东、广西、海南、贵州较全面地提到了数据与服务平台、共性应用支撑系统、政务信息系统、外网内网等基础安全保护。此外，有些省份进一步要求采取切实举措：江苏、安徽、西藏、云南拟制定全省一体化在线政务服务平台数据安全管理办法；上海、广西、湖北计划建设全省统一的政务数据安全运营中心、安全监测与感知平台；贵州根据政务数据安全等级属性建立信息系统的安全体系。

极少数省份提出培育高校、科研机构、行业协会等非市场化力量参与政务数据安全治理。上海、重庆提出建立由高校、科研机构、社会组织、企业、相关部门的专家组成的委员会，负责研究论证公共数据开放、利用风险。上海、浙江推动形成关于政务数据安全管理的行业公约，促进行业建设和完善自律体系。浙江鼓励高等院校、科研机构开展数据安全与隐私保护等关键技术研究。

3.4操作层政策工具主要内容分析操作层工具是实现战略层、战术层工具的基础性保障，“技术手段”“行为规范”“监督惩处”“人员岗位”等工具直接作用政务数据安全所涉最细粒度的行为与事物，其对政策效果的传导路径最短、效用最快。

各省所提及的政务数据安全技术基本在以下范围内，诸如身份认证、访问控制、权限管理、加密算法、容灾备份等数据安全防护技术，审计跟踪、行为溯源等数据安全检测技术，或要求对政务数据进行整理、清洗、脱敏、脱密、格式转换等处理。海南、四川、安徽的思路更加清晰：海南详尽地描述了身份鉴别、日志留存的方式和内容，针对敏感数据的操作提出“复合采用用户名/口令、一次性口令、数字证书、标识密码、生物特征等两种或两种以上的鉴别技术进行身份认证”的严格限制，还“鼓励各公共机构探索安全可靠的新技术手段”；四川以事前控制、事中监控、事后审计的脉络划定不同的安全技术需求；安徽强调“积极探索区块链等新技术在数据安全领域的应用”。

各省倡导和推行的政务数据安全行为规范主要从依规依职能采集数据、共享数据的使用限制、开放数据的安全审查、依法依规开发利用数据等重要操作展开。核心条件可总结为数据采集应合法、必要、适度；数据共享应专事专用、关联、最小够用；数据分类开放前应进行安全评估审查和必要的加工；数据开发利用主体应签订安全使用协议并履行保护义务。关于数据采集受到的关注和规制较少，针对数据开放、共享的安全操作流程较为成熟，而数据开发利用的行为引导还有待探索。上海、浙江、湖北、广东、海南、重庆全面而细致地规定上述四环节。尤其是浙江、重庆及时响应新冠肺炎疫情防控需求，就应对突发事件所获数据的后续处置作出说明：浙江要求分类评估这类数据，并对涉密和涉个人隐私的进行封存或销毁等处理；重庆提出原则上不能保留，确需保留或开发利用的，应经同级大数据应用发展管理主管部门报同级政府审定，同时做好保护工作。

各省为监督政务数据活动的安全进行，对于违法违规行为给予责令限期改正、通报批评、处分、赔偿、追究民事刑事责任等不同程度的处置。此外，监督考核方面，重庆明确政务数据安全管理纳入市政府绩效考核；湖北要求省政务数据主管部门针对各政务部门政务数据安全等工作情况制定考核方案并组织实施；海南提出建立政务数据安全监督考核机制；广西实行年度监督检查和专项监督检查。惩处追责方面，浙江针对公共数据利用主体未按要求整改的，依法将其相关失信信息记入其信用档案；重庆、贵州分别针对违规违法的非经营行为与经营行为、有无违法所得给出具体的罚款金额范围；广西实行政务数据安全保障工作一票否决制；上海、福建、海南、新疆明确数据提供方不对其提供的共享数据在其他行政机构使用中的安全问题负责；浙江、重庆、贵州关照到数据开放主体及其工作人员责任豁免的例外情况。

少数省份认识到政务数据安全政策的落实离不开组织保障、岗位设置以及执行人员。人员安排方面，四川、云南、浙江要求各级政务部门指定专人负责本部门共享数据的风险防范；海南要求公共机构指定专人负责本单位数据安全审计；广西实行政务数据安全“一把手负责制”。组织设计方面，北京、安徽、吉林、上海、重庆要求行政机关、公共管理和服务机构以及建设运维单位设置或确定专门的政务数据安全管理机构，并确定安全管理责任人。更进一步，吉林、上海、贵州提出建立安全管理岗位人员管理制度，以及定期对相关人员进行安全培训；浙江要求建立有关接触政务数据的内部和外部人员岗位安全责任制。团队建设方面，河南、广东拟组建信息安全保障团队，海南要求平台管理方引导统筹建立公共信息资源应急处置团队。

4 研究结论与对策建议

4.1研究结论当前各省对政务数据安全政策都进行了不同程度的探索与尝试，相关政策文本主要呈现以下特征：一是大部分省域模仿中央政策而忽视自身承上启下与因地制宜的双重重任，停留在“原则理念”“总体规划”等层面，可能造成政策先天不足、流于表面。二是省域战术层、操作层工具模糊缺位为市县乡选择性执行提供空间，安全保护工作往往因细节多、标准高、技术难、实时性强、绩效不可量化不可见等特点被选择性忽略。三是省份间对政务数据安全的认知与需求差异悬殊造成省际政策失调。

4.2对策建议第一，抓紧研制政务数据安全专项保护政策，完善《数据安全法》配套规定。政务数据流动融合的迅猛态势下，如果不及时为快速扩张的业务需求搭建有效的规制框架，亡羊补牢式立法将无法弥补政务数据野蛮生长对国民经济建设和国家安全战略体系的重创。《数据安全法》实施在即，省域应当结合本省打造数字政府、建设智慧城市、发展数字经济等对政务数据的需求，由省国安委负责政务数据安全工作的决策和议事协调，联合省发改委、省数据管理局、省网信办等单位，抓紧研究制定、指导实施政务数据安全专项保护政策。

第二，聚焦政务数据分类分级保护，提升战术层工具的系统性。应《数据安全法》新规要求“国家建立数据分类分级保护制度”，省域应当围绕政务数据分类分级保护协同运用战术层工具，进而形成全省上下一致保护行动。建议“角色定位”工具考量政务数据于国家安全、政务运行、网络安全的重要程度，理顺国安、政务办、网信等在政务数据安全工作协调中的地位功能；“基础设施”工具考量政务数据与政务系统等载体的关系，前者的分类分级需要衔接后者有关网络安全等级保护制度3.0、关键信息基础设施安全保护制度等的先行工作基础；“防护机制”工具考量政务数据分类分级的不同安全需求，优化数据风险评估、报告、信息共享、监测预警、应急处置的资源配置效率；“社会参与”工具考量政务数据分类分级的门槛与规模，适当引入信安标委、安全服务商在数据识别分类方面的先进理念与技术。

第三，发挥行业主管部门的实践经验，完善操作层工具对市县乡的直接参考性。省域新组建的数据管理机构困于职能整合、权责定位，短期内对政务数据安全细节性问题的认识与部署有限。建议数据管理机构深度参与政务数据共享、交换、开放等业务的同时开展本地政务数据摸底，同时综合省内行政区划的不同层级与管理幅度、差异化的技术条件与数字素养，指明各类治理主体运用“技术手段”“行为规范”“监督惩处”“人员岗位”等工具的侧重点。

第四，补齐政策短板，强化省际政策协同，构筑政务数据安全大坝。国办电子政务办对地方数字政府绩效考核时应当规避省际政务数据发展的“政治锦标赛”模式，引导省域就政务数据安全政策目标达成共识，至少在监管步调、防护强度等方面形成一致的底线，防止政务数据自安全大坝的政策缺口喷涌而出。对于政务领域最高安全级别的“国家核心数据”“重要数据”，中央有必要出具数据识别指南以统筹省域对此进行政策工具协同，通过跨省对口支援、安全技术服务共享平台等推动省份“角色定位”“防护机制”衔接联动，建立集中统一、高效运行的国家政务数据安全治理体系。